Gli aggressori aggiungono i privilegi di sistema di Windows tramite il bug dell’antivirus ESET

ESET è una società di sicurezza di Interent slovacca che ha recentemente rilasciato problemi di sicurezza al fine di affrontare la vulnerabilità della crescita dei privilegi locali di elevata gravità. Questo è stato fatto per influenzare più prodotti su dispositivi in ​​esecuzione su Windows 10 e versioni successive o Windows Server 2016 e versioni successive.

Questo problema è stato riscontrato da Michael DePlante della Zero Day Initiative di Trend Micro. Consente ai criminali informatici di aumentare i diritti umani sull’account NT AUTHORITY\SYSTEM utilizzando l’interfaccia di scansione antimalware di Windows.

Nel 2015, AMSI è stato introdotto per la prima volta con Windows 10 Technical Preview. È uno standard di interfaccia versatile che consente alle applicazioni e ai servizi di integrarsi con qualsiasi prodotto antimalware presente su un computer.

Ciò può essere ottenuto solo una volta che gli aggressori ottengono l’accesso ai diritti SeImpersonatePrivilege che vengono generalmente assegnati agli utenti nel gruppo Administrators locale e all’account di servizio locale del dispositivo.

Secondo l’avviso di ZDI, gli aggressori dovevano solo acquisire la capacità di eseguire codice con privilegi bassi sul PC di destinazione, che corrisponde alla valutazione severa CVSS di ESET che mostra anche che i bug o i difetti possono essere sfruttati dagli attori delle minacce.

ESET afferma inoltre che questo bug è stato rilevato da loro il 18 novembre. Inoltre, l’avviso di ZDI afferma che la vulnerabilità è stata rilevata quattro mesi prima, ovvero il 18 giugno 2021.

Nome dei prodotti interessati da ESET

Di seguito, di seguito sono indicati i nomi di alcuni prodotti interessati da questa vulnerabilità come:

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security ed ESET Smart Security Premium dalla versione 10.0.337.1 alla 15.0.18.0
  • ESET Security per Microsoft SharePoint Server dalla versione 7.0.15008.0 alla 8.0.15004.0
  • ESET Mail Security per IBM Domino dalla versione 7.0.14008.0 alla 8.0.14004.0
  • ESET Endpoint Antivirus per Windows ed ESET Endpoint Security per Windows dalla versione 6.6.2046.0 alla 9.0.2032.4
  • ESET Mail Security per Microsoft Exchange Server dalla versione 7.0.10019 alla 8.0.10016.0
  • ESET Server Security per Microsoft Azure dalla versione 7.0.12016.1002 alla 7.2.12004.1000
  • ESET Server Security per Microsoft Windows Server 8.0.12003.0 e 8.0.12003.1, ESET File Security per Microsoft Windows Server dalla versione 7.0.12014.0 alla 7.3.12006.0

Microsoft Azure ha inoltre consigliato all’utente di aggiornare immediatamente ESET File Security all’ultima versione di ESET Server Security per Microsoft Windows Server per riscontrare il difetto.

Tra l’8 dicembre e il 31 gennaio, il produttore di antivirus ha rilasciato molti aggiornamenti di sicurezza per affrontare questa vulnerabilità quando ha patchato l’ultimo prodotto vulnerabile.

Infine, ESET afferma che nessuna prova di exploit è stata progettata per prendere di mira prodotti interessati da questo bug di sicurezza.

Disabilitando l’opzione Abilita scansione avanzata tramite AMSI presente nella configurazione avanzata dei prodotti ESET, è possibile rimuovere anche la superficie di attacco.

“Tuttavia, ESET consiglia vivamente di eseguire un miglioramento a una versione fissa del prodotto e di applicare questa soluzione alternativa solo quando il miglioramento non è possibile per il punto cruciale”.